Inhalt der Ausgabe 01/2022
Editorial
Inhalt
Privacy News
Ari Ezra Waldman untersucht, wie sich Recht und Technologie auf marginalisierte Bevölkerungsgruppen auswirken, mit besonderem Fokus auf Datenschutz, Desinformation und die LGBTQ-Gemeinschaft. Im September 2021 erschien sein zweites Buch mit dem Titel „Industry Unbound – The Inside Story of Privacy, Data, and Corporate Power” (Cambridge University Press). Darin beschreibt er, wie die Tech-Industrie ihren Feldzug zur Untergrabung unserer Privatsphäre führt. Im Gegensatz zur verbreiteten Ansicht, dass das Datenschutzrecht immer stärker wird, ist Waldman der Meinung, dass jüngste Änderungen im Datenschutzrecht genau die Art von Änderungen sind, die von den Unternehmen gewünscht werden, und dass selbst diejenigen, die sich als Verfechter des Datenschutzes sehen, oft unwissentlich das Fehlverhalten von Unternehmen fördern.
Aufgrund vielfältig gelagerter Einzelfälle kann jede noch so unscheinbare Datenverarbeitung ein Fallstrick darstellen und zu einer (unbewussten und/oder ungewollten) datenschutzrechtlichen Verantwortlichkeit führen. Abgrenzungsprobleme sind hierbei an der Tagesordnung. Gerade aus diesem Grund ist es wichtig zu verstehen, wann überhaupt eine datenschutzrechtliche Verantwortung vorliegt und welche Voraussetzungen dafür erfüllt sein müssen.
Ich gebe zu, ein wenig schlechter als sonst geschlafen hatte ich in der Nacht vor dem 2. Dezember. Für diesen Tag waren die Schlussanträge des zuständigen Generalanwalts beim Europäischen Gerichtshof, Jean Richard de la Tour, in einem Verfahren des Verbraucherzentrale Bundesverbands gegen die Facebook Ireland (C-319/20 – Appzentrum) angekündet. Spoiler: Diese wichtige Etappe stimmt – je nach Blickwinkel ausgesprochen hoffnungsfroh (für Verbraucherverbände) oder wirkt ernüchternd (für die Beklagte). Aber der Reihe nach.
♦ VG Berlin, Beschl. v. 18.11.2021 – Az. VG 2 K 6.19 – Bewertungsportal „richterscore“ hat keinen Anspruch auf Herausgabe von personenbezogenen Daten von Berliner Richterinnen und Richtern
♦ OLG München, Urt. v. 06.10.2021 – Az. 20 U 7051/20 – Externer Datenschutzbeauftragter haftet mangels Verantwortlichkeit nicht für Verstöße des Auftraggebers
♦ OVG Schleswig-Holstein, Urt. v. 25.11.2021 – Az. 4 LB 20/13 – Datenschutzrechtliche Anordnung zur Deaktivierung einer Facebook-Seite
♦ EU: Neues Gesetzgebungsvorhaben zum Client-Side-Scanning
♦ D: Quo vadis ? – Konsequenzen des TTDSG für erlaubte Privatnutzung von elektronischen Kommunikationsdiensten durch den Arbeitgeber
♦ Niederländische Datenschutzbehörde verhängt nach Hacker-Angriff 400.000 Euro Bußgeld gegen Fluggesellschaft Transavia
♦ UK, AU, D: £ 17 Mio. Bußgeld gegen Clearview AI in UK angekündigt – weiterhin kein einheitliches Vorgehen gegen biometrische Gesichtserkennung in der EU
Wenn diese Ausgabe der PinG erscheint, dann ist das Jahr 2021 Geschichte. Es war nicht nur das zweite „Corona-Jahr“ mit diversen Widrigkeiten und harten Zeiten für die Grundrechte. Es war auch das Jahr, in dem ein Wechsel in der Regierung dieses Landes von statten ging. In dieser Kolumne interessiert dieser Umstand natürlich allein mit Blick auf die von uns so geliebten Daten. Was bedeutet die neue politische Konstellation für den Datenschutz, was für die Datenpolitik?
Unerbetene Werbung ist ein Quell zahlreicher Streitigkeiten. Während manch ein Versender von Spam sein Geschäftsmodell darauf aufbaut und Unterlassungsansprüche nebst den Kosten von Abmahnungen einpreist, sind es in den meisten Fällen durchschnittliche Werbetreibende, die schlicht über schlecht gepflegte Adressdatenbestände verfügen. Teuer wird es für den Werbetreibenden jedoch meist erst im Wiederholungsfalle. Der EuGH wird sich alsbald der Frage stellen müssen, ob und wenn ja, mit welchen Mitteln zukünftig ein „private law enforcement“ der Zusendung von unerbetener Werbung effektiv Einhalt gebietet.
Privacy Topics
An Hochschulen wird nicht nur die Prüfungsdurchführung, sondern auch die Prüfungsaufsicht digitalisiert. Beim sog. Online-Proctoring werden Nutzungs- und Verhaltensdaten der Studierenden verarbeitet. Der Beitrag zeigt auf, dass weder im geltenden Recht die DSGVO noch de lege ferenda der am 21. April 2021 veröffentlichte EU‐Entwurf einer KI-Verordnung einer solchen automatisierten Prüfungsaufsicht grundsätzlich entgegenstehen. Das Recht macht allerdings eine Reihe von Vorgaben, die beim Online-Proctoring zu beachten sind.
On 18 November 2021, the European Data Protection Board (EDPB) published a piece of guidance that was supposed to clarify one of the ultimate mysteries of the General Data Protection Regulation (GDPR), namely the definition of international personal data transfers. The EDPB does clarify that for the assessment of an act as a transfer, the actors involved are important, thus it is only a transfer if data are exchanged between a (joint) controller or processor within the EU and a (joint) controller or processor outside of it.
In den USA hat die Uniform State Law Commission den „Uniform Personal Data Protection Act“ offiziell verabschiedet. Es handelt sich um ein Mustergesetz, das von den Bundesstaaten der USA ab Januar 2022 in ihre Rechtsordnung übernommen werden kann und dann die Rechtsgrundlage für die dortige Datenverarbeitung darstellt. Dieser Beitrag erläutert die wesentlichen Inhalte des Gesetzeswerks, vergleicht diese mit denen der DSGVO und stellt Überlegungen an, inwieweit die dort geregelten Prinzipien bei einer Reform der DSGVO berücksichtigt werden könnten.
Privacy Compliance
Der Schweizerische Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in seiner neuen Anleitung Hilfestellungen zur Personendaten-Übermittlung ins Drittland festgehalten. Damit soll die Prüfung der Zulässigkeit von Übermittlungen erleichtert werden. Gleichzeitig werden damit die Anforderungen an die Garantien für den datenschutzkonformen Datenexport gemäß dem Schrems II-Urteil autonom übernommen und es wird deutlich, dass in der Schweiz die gleichen konzeptionellen Regeln wie in der EU gelten.
Die Datenschutz-Grundverordnung ist seit mittlerweile mehr als dreieinhalb Jahren in Geltung. Im Rahmen der datenschutzrechtlichen Selbstverantwortung sind die per 25.05.2018 gesetzten Maßnahmen laufend und spätestens jetzt auf Praktikabilität, Effizienz, Notwendigkeit und Änderungsbedarf zu überprüfen. Ein Datenschutz-Audit ist das Gebot der Stunde, um der Rechenschaftspflicht nachzukommen („Accountability“) und mögliche Geldbußen und Haftungen zu vermeiden. Im nachfolgenden Beitrag soll eine neuartige, praktisch anwendbare Methodik vorgestellt werden, um Compliance im Datenschutz nachzuweisen und Datenschutz-Audits durchzuführen. Eine ausführliche(re) Darstellung findet sich im brandaktuellen Buch „Pachinger/Beham, Datenschutz-Audit, Recht – Organisation – Prozess – IT“, das als Praxisleitfaden kürzlich auch speziell zum deutschen Recht veröffentlicht wurde.
Jetzt bestellen – für den gesamten Campus.
